Cette formation Elastic Security for SIEM outille les analystes et ingénieurs sécurité à utiliser la Suite Elastic comme SIEM moderne : collecte d'événements via Elastic Agent et Fleet, normalisation via ECS, exploration et corrélation des données, construction de dashboards.
Elle couvre l'exploitation complète du Security App : Detection Engine, Alerts, Timelines, Cases, AI Assistant et Attack Discovery — jusqu'aux langages de requête EQL et ES|QL.
Objectifs pédagogiques
- Décrire l'architecture de la Suite Elastic pour les cas d'usage sécurité.
- Configurer Fleet, déployer des Elastic Agents et leurs intégrations.
- Discuter du rôle de l'Elastic Common Schema (ECS) et de la normalisation.
- Accéder à la donnée via Discover (Data Views, KQL, Lucene).
- Construire des visualisations agrégation-based et Lens.
- Concevoir des dashboards et pivoter entre les apps Kibana.
- Mettre en œuvre le Security App : Explore, Detection Engine, Alerts, Timelines, Cases, AI Assistant, Attack Discovery.
Programme
Module 1 — Vue d'ensemble de la Suite Elastic
- Composants : Elasticsearch, Logstash, Beats (Filebeat, Metricbeat, Packetbeat, Winlogbeat, Auditbeat, Heartbeat), Elastic Agent, Kibana.
- Elasticsearch Data Journey : Source → Ingest → Store → Analyze.
- Fleet et Elastic Agent : architecture, Fleet Server, Package & Artifact Registry, environnements air-gapped.
- Gestion des agents, intégrations et politiques d'agent ; déploiement d'un agent.
- Labs 1.1 & 1.2 : configuration d'un Elastic Agent, policies et intégrations.
Module 2 — Elastic Common Schema (ECS)
- Normalisation de sources hétérogènes (ex.
host.address/src_ip→source.ip). - Bénéfices pour la détection et la corrélation ; ingestion ECS via Agent, Beats, Logstash.
- Structure Elasticsearch : index, documents, champs, valeurs ; types Date, Numbers, Strings, IPs.
- Champs ECS : Core, Extended, Custom.
Module 3 — Discover
- Index Patterns et Data Views (ex.
ecs-*,ecs-suricata-*,ecs-zeek-*). - Fondamentaux Discover : time filter, histogram, doc table, query bar, fields list.
- Requêtage : champs text vs keyword, full-text et exact-match, booléens, wildcards, IP/CIDR, ranges, regex, fuzzy, proximity.
- Démos : Discover Components, Lucene and KQL.
- Labs 3.0 & 3.1 : drapeaux
acquisitionetpursue.
Module 4 — Visualisations agrégation-based
- Metrics aggregations : avg, sum, min, max, unique count, percentiles.
- Bucket aggregations et sub-buckets (analogie tableau croisé dynamique).
- Types : Area, Data table, Gauge, Heat map, Line, Metric, Pie, Tag cloud, Timelion, Vertical/Horizontal bar.
- Démo : Aggregation Based Visualization.
- Lab 4.1 : Data Table — drapeau
access.
Module 5 — Lens
- Composants et fonctionnalités avancées ; drag & drop, suggestions, quick edit.
- Réglages des visuels, légendes, axes, métriques (Quick function / Formula).
- Layers : combinaison de chart types et d'index patterns indépendants.
- Conversion d'une visualisation agrégation-based en Lens.
- Labs 5.1 à 5.3 (Visualization, Data Table,
Multi-layer Date Histogram) — drapeau
ancestor.
Module 6 — Dashboards
- Dashboard = visualisations + saved searches
(exemples Zeek
conn.log,http.log). - Filtres : pin across all apps, exclude, disable, delete ; pin to pivot entre Discover, Visualize Library et Dashboards.
- Time range et impact de la granularité sur les histogrammes.
- Démo : Dashboards.
- Labs 6.1 & 6.2 : création et analyse —
drapeau
arrangement.
Module 7 — Security App
- Composants : Detection Engine, Timelines, Cases, Manage ; pages Explore (Host, Network, Users).
- Elastic AI Assistant for Security : investigation d'alertes, system & quick prompts, knowledge base ES|QL, triage et reporting.
- Attack Discovery : analyse LLM des alertes, mapping MITRE ATT&CK, attack chain, intégration Timeline / Cases.
- Langages de requête : EQL (event-based,
sequence) et ES|QL (syntaxe pipée : FROM, WHERE, KEEP, STATS ... BY, SORT, LIMIT). - Detection Engine : 1000+ règles pré-construites ; six types (Custom Query, Machine Learning, Threshold, Event Correlation/EQL, Indicator Match, New Terms, ES|QL) ; tuning via Exceptions et Value Lists ; monitoring.
- Alerts : Summary, Trend, Treemap, sévérités, Event Visual Analyzer (Endpoint / Sysmon).
- Timeline & Cases : workspace d'investigation, connecteurs (ServiceNow, Jira, IBM Resilient, Swimlane), import/export NDJSON.
- Démos : Security App, Explore, EQL, ES|QL, Detection Engine, Alerts, Timeline and Cases.
- Labs 7.1 à 7.6 — drapeaux
analysis,engine,signal,history.
LE Formateur
Mathieu ELIE assure votre cours. Avec plus de 110 formations données sur les technos elastic, votre formateur passe aussi 50% de son temps en production en tant que consultant elk et elastic stack . Vous avez donc un formateur qui a aussi l'experience de la production.
3 à 5 jours
Il est possible de moduler la durée en fonction de vos contraintes ou souhaits. Concrètement cela correspond à la modulation des temps de travaux pratiques et du niveau de détail des points développés.
sur devis
Les tarifs sont étudiés pour chaque demande, en inter ou intra-entreprise.
Formation remboursable OPCA / OPCO sur acceptation de votre dossier.
Sur mesure / personnalisation
Contactez moi pour personnaliser votre formation. J’adapte le programme, le lieu et la durée. Une partie consulting est également possible.
Public
Analystes SOC (N1, N2, N3) et threat hunters, ingénieurs de détection et sécurité, administrateurs SIEM.
Pré-requis
Notions générales de cybersécurité (logs, MITRE ATT&CK, IOC), des protocoles réseau et des systèmes d'exploitation.
Pédagogie
Progression concept → démo instructeur → lab CTFd → summary. Chaque lab se conclut par la capture d'un drapeau, avec quiz de fin de leçon.
Supports
A la fin de la formation vous recevrez tous les supports de toutes mes formations au format numériques ainsi que tous les tps et leurs corrigés
